Valentin Boullier

Ce n’est plus un secret : la NSA (National Security Agency) a massivement surveillé les télécommunications mondiales, en partie grâce à des partenariats avec d’autres agences de renseignements, notamment européennes : elle aurait utilisé les données de localisation des téléphones portables, elle utiliserait les cookies de Google à des fins d’identification, mais beaucoup d’autres tactiques auraient été utilisées. Parmi elles, l’infiltration des jeux massivement multijoueurs.

Une infiltration des MMORPG

La NSA aurait ainsi infiltré les MMORPG (Massively Multiplayer Online Role Playing Game) afin identifier des cibles potentielles. D’emblée, nous pouvons nous demander pourquoi les MMOFPS (Massively Multiplayer Online First Person Shooter) semblent avoir été épargnés, puisque ceux-ci sont régulièrement accusés de favoriser le développement de la violence chez les joueurs.

Cette infiltration a été révélée par le Guardian, le NYTimes et Propublica, grâce aux documents transmis par Edward Snowden. Les deux jeux principaux qui auraient été infiltrés sont les fameux WoW (World of Warcraft) et Second Life.

La NSA suspecterait ces jeux de favoriser les communications entre des personnes « cibles ». L’objectif d’une telle infiltration serait ainsi de pouvoir identifier des personnes ou de les surveiller lorsqu’elles tentent d’utiliser les MMO comme de nouveaux vecteurs de communication au détriment des « canaux classiques ». Les transferts d’argent, les « chat logs » auraient ainsi été surveillés. Des joueurs se sont interrogés sur cette surveillance dans les forums de ces jeux.

L’orc qui cache la Horde ?

Cette activité n’aurait cependant pas été « massive » comme l’utilisation des données de localisation provenant de téléphones mobiles, ou la surveillance des boites de courriers électroniques. Pour les joueurs, le principal danger des MMO reste le piratage direct des ordinateurs (tentatives de triche consistant à utiliser des techniques prohibées afin d’obtenir des bonus dans le jeu), et (aussi) les prédateurs sexuels qui tentent d’entrer en contact avec les joueurs.

Une alliance composée de Microsoft, du FBI, de l’E3C (European Cybercrime Center) et d’autres acteurs privés a mené une offensive majeure contre le botnet ZeroAccess (ou Sirefef). Le botnet a été perturbé, mais pas démantelé, notamment en raison de la complexité de son architecture.

Qu’est-ce qu’un botnet ?

Un botnet est un « réseau d’ordinateurs privés infectés par des logiciels malveillants et contrôlés tel un groupe sans le consentement des propriétaires (« network of private computers infected with malicious software and controlled as a group without the owners’ knowledge » – Oxford Dictionnaries). Ce réseau constitue ainsi un « réseau d’ordinateurs zombies », parfois utilisé sans que les propriétaires des ordinateurs sachent que leurs ordinateurs ont été infectés. Un botnet peut être utilisé pour remplir différents buts : facilitation du spam, tentatives de phishing, attaques DDoS (Distributed denial of service) etc.

Le botnet ZeroAccess a surpris par sa complexité : celui-ci est structuré en réseau peer-to-peer, et a été conçu dans le but d’empêcher toute protection. Ainsi, les ordinateurs infectés pouvaient parfaitement communiquer entre eux et se transmettre des mises à jour. Microsoft note en effet que :

36. This architecture is employed as a way to resist countermeasures. In a peer-to-peer network, the participating infected computers, called nodes, or peers, engage in constant communication with each other, and can quickly and reliably update each other with new versions of the malware and new instructions. In other words, in a peer-to-peer network, any one of the infected computers can function as a command-and-control server.
Cet extrait est tiré du document suivant (.pdf, en anglais) : http://botnetlegalnotice.com/zeroaccess/files/Cmplt.pdf. Dans ce même document, Microsoft a ainsi qualifié ZeroAccess d’un des botnets les plus robustes et durables d’aujourd’hui.

ZeroAccess a infecté 1,9 million d’ordinateurs dans le monde. Le principe de ce botnet est notamment de pirater les résultats de recherche en renvoyant l’internaute vers des sites malveillants afin de permettre à l’ordinateur de devenir un « zombie » à son tour. Ainsi infecté, l’ordinateur permettait des click-fraud (détournement de clics pour augmenter les dépenses publicitaires de concurrents).

Contre-attaque

C’est une unité spéciale de Microsoft qui a mené la contre-attaque, appelée « DCU » pour Microsoft’s Digital Crimes Unit. Cette unité a déjà mené des opérations contre des botnets comme par exemple les opération b107 (Rustock Botnet), b70 (Nitol botnet), ou encore b58 (Bamital).

La DCU de Microsoft mène ces actions en partenariat avec des acteurs publics (US Marshals, Gendarmerie nationale, etc.) ou privés (Symantec, A10 Networks, etc.).

La DCU n’a pas mené cette lutte seule, puisqu’elle était ici en partenariat avec le FBI, A10 Networks, d’autres fleurons de l’industrie, et, soulignons-le, l’E3C (European Cybercrime Centre), qui a ouvert en janvier 2013. Situé à la Hague, ce centre spécial ambitionne de devenir le fer de lance européen dans la lutte contre la cybercriminalité :
« EC3 aims to become the focal point in the EU’s fight against cybercrime, through building operational and analytical capacity for investigations and cooperation with international partners in the pursuit of an EU free from cybercrime. (E3C) »

Cette contre-attaque aura notamment permis de saisir quarante-neuf sites ayant permis de diffuser le malware. Cette opération technique n’a hélas pas permis le démantèlement complet de ZeroAccess, mais Microsoft espère que cette offensive aura permis de perturber ZeroAccess « de manière significative » : « Microsoft expects that this action will significantly disrupt the botnet’s operation »

Des actions judiciaires sont bien sûr en cours, et ce tant aux États-Unis qu’en Europe, grâce notamment au concours d’Europol.